14 listopada 2000

I-Worm.Hybris - uaktualniający się robak internetowy

Jest to robak internetowy, rozprzestrzeniający się poprzez wiadomości e-mail. Działa tylko w systemach Win32. Wirus składa się z komponentów (pluginów), uruchamianych w zależności od potrzeb. Szkodnik może uaktualniać się poprzez Internet.

Uruchomienie robaka

Głównym celem robaka jest biblioteka WSOCK32.DLL. Podczas infekowania wirus:

  • dopisuje się do ostatniej sekcji pliku;
  • przejmuje funkcje "connect", "recv" oraz "send";
  • modyfikuje adres procedury wejściowej (aktywowanej gdy ładowany jest plik DLL) i szyfruje oryginalną procedurę.

Jeśli robak nie może zainfekować pliku WSOCK32.DLL (np.: biblioteka jest w użyciu lub plik jest zablokowany do zapisu), tworzy jego kopię z losową nazwą i dodaje do pliku WIN.INI funkcję zmieniającą nazwę kopii na WSOCK32.DLL.

Dodatkowo, robak tworzy swoją kopię w systemowym katalogu Windows i rejestruje ją w poniższych kluczach:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunOnce
{Default} = %WinSystem%\NazwaRobaka

lub

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce
{Default} = %WinSystem%\ NazwaRobaka

gdzie %WinSystem% jest nazwą katalogu systemowego Windows, natomiast "NazwaRobaka" to losowo generowana nazwa kopii wirusa, przykładowo:

  • CCMBOIFM.EXE
  • LPHBNGAE.EXE
  • LFPCMOIF.EXE

Zainfekowany plik WSOCK32.DLL

Robak przejmuje funkcję systemu Windows, odpowiedzialną za nawiązywanie połączeń sieciowych, włącznie z Internetem. Wirus przechwytuje dane, które są odbierane i szuka w nich adresów e-mail. Gdy adres zostanie wykryty, robak wysyła pod niego zainfekowaną wiadomość.

Komponenty robaka (pluginy)

Funkcjonalność robaka zależy od przechowywanych w jego kodzie komponentów. W różnych wersjach wirusa znaleziono do 32 różnych pluginów. Mają one różne przeznaczenie i mogą być uaktualniane ze strony WWW.

Ponadto, robak uaktualnia swoje komponenty przy użyciu listy dyskusyjnej "alt.comp.virus". Wirus łączy się z serwerem (korzystając z listy zawierającej ponad 70 adresów), konwertuje swoje pluginy do postaci wiadomości i wysyła je. Wiadomości wyglądają na losowe, przykładowo:

  • encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
  • encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
  • text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
  • text RFRE rebibmTCDOzGbCjSZ

podczas gdy pierwsze cztery znaki to nazwa komponentu, natomiast reszta ciągu jest zaszyfrowanym numerem jego wersji.

Istnieją różne typy pluginów robaka. Oto ich funckje:

  • Infekowanie wszystkich archiwów ZIP oraz EXE, zapisanych na dyskach od C: do Z:.
  • Wysyłanie wiadomości z zakodowanymi pluginami do listy dyskusyjnej "alt.comp.virus" i pobieranie z niej nowych komponentów.
  • Rozprzestrzenianie wirusa na zdalnych maszynach, posiadających zainstalowanego trojana SubSeven.
  • Szyfrowanie kopii robaka przy użyciu pętli polimorficznej, przed wysłaniem wraz z wiadomością e-mail.
  • Losowe wybieranie tematów, treści i nazw załączników z następujących możliwości:

    Od: Hahaha hahaha@sexyfun.net

    Tematy:

    Snowhite and the Seven Dwarfs - The REAL story!
    Branca de Neve pornô!
    Enanito si, pero con que pedazo!
    Les 7 coquir nains

    Treści wiadomości:

    C'etait un jour avant son dix huitieme anniversaire. Les 7 nains, qui avaient aidé 'blanche neige' toutes ces années aprčs qu'elle se soit enfuit de chez sa belle mčre, lui avaient promis une *grosse* surprise. A 5 heures comme toujours, ils sont rentrés du travail. Mais cette fois ils avaient un air coquin...

    Today, Snowhite was turning 18. The 7 Dwarfs always where very educated and polite with Snowhite. When they go out work at mornign, they promissed a *huge* surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter...

    Faltaba apenas un dia para su aniversario de de 18 ańos. Blanca de Nieve fuera siempre muy bien cuidada por los enanitos. Ellos le prometieron una *grande* sorpresa para su fiesta de compleańos. Al entardecer, llegaron. Tenian un brillo incomun en los ojos...

    Faltava apenas um dia para o seu aniversario de 18 anos. Branca de Neve estava muito feliz e ansiosa, porque os 7 anőes prometeram uma *grande* surpresa. As cinco horas, os anőezinhos voltaram do trabalho. Mas algo nao estava bem... Os sete anőezinhos tinham um estranho brilho no olhar...

    Nazwy załączników:

    enano.exe
    enano porno.exe
    blanca de nieve.scr
    enanito fisgon.exe
    sexy virgin.scr
    joke.exe
    midgets.scr
    dwarf4you.exe
    blancheneige.exe
    sexynain.scr
    blanche.scr
    nains.exe
    branca de neve.scr
    atchim.exe
    dunga.scr
    anăo pornô.scr

    W zależności od wersji komponentu temat wiadomości może być kombinacją poniższych możliwości:

    Anna, Raquel Darian, sexy, Xena, hot, Xuxa, hottest, Suzete, cum, famous, cumshot, celebrity, rape, horny, leather

    Nazwa załącznika:

    Anna.exe, Raquel Darian.exe, Xena.exe, Xuxa.exe, Suzete.exe, famous.exe, celebrity rape.exe, leather.exe, sex.exe, sexy.exe, hot.exe, hottest.exe, cum.exe, cumshot.exe, horny.exe, anal.exe, gay.exe, oral.exe, pleasure.exe, asian.exe, lesbians.exe, teens.exe, virgins.exe, boys.exe, girls.exe, SM.exe, sado.exe, cheerleader.exe, orgy.exe, black.exe, blonde.exe, sodomized.exe, hardcore.exe, slut.exe, doggy.exe, suck.exe, messy.exe, kinky.exe, fist-fucking.exe, amateurs.exe